1 / 39

CIP-seminaari 2007-11-24

Ajankohtaiskatsaus. CIP-seminaari 2007-11-24. Erka Koivunen Yksikön päällikkö CERT-FI. Tietoturvaloukkausten lyhyt historia. ennen 1970: uhkakuvana ”reaalimaailma” (ydinsota  ARPANET) 1988: Morris Worm  CERT/CC 1990-luku: virukset, spam, internetin kaupallistuminen

erek
Download Presentation

CIP-seminaari 2007-11-24

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript


  1. Ajankohtaiskatsaus CIP-seminaari2007-11-24 Erka Koivunen Yksikön päällikkö CERT-FI

  2. Tietoturvaloukkausten lyhyt historia • ennen 1970: uhkakuvana ”reaalimaailma” (ydinsota  ARPANET) • 1988: Morris Worm  CERT/CC • 1990-luku: virukset, spam, internetin kaupallistuminen • vuosituhannen vaihde: rikollinen bisnes löytää tietoverkot • 2000-2003: verkkomadot lamauttavat verkkoja • 2004: haittaohjelmat ”soittavat kotiin” • 2005: bottiverkoista tulee krooninen ongelma, DDoS, phishing.. • 2006: rootkitit ja tietoa varastavat haittaohjelmat, tietoverkkorikolliset kohtaavat ”basaareilla”, bullet-proof-hosting.. • 2007: istuntoja kaappaavat haittaohjelmat, kohdistetut hyökkäykset, haittaohjelmien tuotteistaminen, EU ”havahtuu” ongelmaan... • 2008-: CIP-kohteet, matkaviestimet, ubiikkiuhat, laajavaikutuksiset haavoittuvuudet, yksityisyyden menettäminen, vastatoimet, infosota..??

  3. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  3

  4. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  4

  5. DDoS-hyökkäys DNS-peilin avulla Kuva: CERT/CC Kuva: AusCERT

  6. DDoS-hyökkäys DNS-peilin avulla http://www.icir.org/vern/papers/reflectors.CCR.01.pdf

  7. DDoS-hyökkäys DNS-peilin avulla http://www.icir.org/vern/papers/reflectors.CCR.01.pdf Kuvat: Vern Paxson, ICSI

  8. DDoS-hyökkäys DNS-peilin avulla $ dig fi TXT +short "https://domain.ficora.fi/" "whois.ficora.fi"

  9. Myös juurinimipalvelimet kohteina Kuva: RIPE

  10. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  10

  11. Ajankohtaista: Tapaus OPC Kuva: NIST 11

  12. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  12

  13. Ajankohtaista: Tapaus Viro Kuvat: ASO April 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 May 2007 Mo Tu We Th Fr Sa Su 12 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 April 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 May 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 April 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 May 2007 Mo Tu We Th Fr Sa Su 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 13

  14. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  14

  15. Ajankohtaista: Tapaus Yle & Co.

  16. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  16

  17. Ajankohtaista: Tapaus MPack Kuvat: SecurityFocus

  18. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  18

  19. Ajankohtaista: Mobiilihaittaohjelma

  20. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  20

  21. Ajankohtaista: forensiikkaohje

  22. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  22

  23. Ajankohtaista: Kohdennetut hyökkäykset Kuva: Der Spiegel

  24. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  24

  25. Ajankohtaista: Salasanavuoto #define OWNED TRUE /* by. The Magical Pink Bear */ /* & ZeroPoint */ ########################################################## # 12/10/2007 # # 0x00> Prologue # # 0x01> md5($password); line 68 # # 0x02> sha1($password); line 29934 # # 0x03> sha1(tolower($username) . $password); line 30352 # # 0x04> plaintext fun; line 63122 # # 0x05> Goodbyes # # # ########################################################## void Prologue() { We cracked 78 000 (ok, almost 79 000) accounts around the net and of course we'd like to share them with you, right. Mostly finnish accounts, so maybe it would be better to have this prologue in finnish too. Hei, Lista pitää sisällään noin 29 800 MD5 hashia, muutamisen sataa SHA1 hashia, 33 000 kappaletta epäkivoja SMF foorumin hasheja ja toki myös muutamisen sataa salasanaa plaintextinä. Joistakin puuttuu mailit, valitamme. Niitä joko ei ole ollut saatavilla tai ne ovat tarkoituksella jätetty pois. Kysymyksiä varmasti syntyy; "Miten teitte sen?", "Miksi olen listalla?", "Antakaa kamaa runessa", "Keitä te olette?". Jos olet listalla, sori hei. Meillä ei ole varmastikaan ollut syytä satuttaa sua... tai sitten oli. Todennäköisesti olet vaan osunut väärään paikkaan väärään aikaan, mutta jokatapauksessa et olisi asialle mitään mahtanut.

  26. Ajankohtaista: Salasanavuoto #define OWNED TRUE /* by. The Magical Pink Bear */ /* & ZeroPoint */ ########################################################## # 12/10/2007 # # 0x00> Prologue # # 0x01> md5($password); line 68 # # 0x02> sha1($password); line 29934 # # 0x03> sha1(tolower($username) . $password); line 30352 # # 0x04> plaintext fun; line 63122 # # 0x05> Goodbyes # # # ########################################################## void Prologue() { We cracked 78 000 (ok, almost 79 000) accounts around the net and of course we'd like to share them with you, right. Mostly finnish accounts, so maybe it would be better to have this prologue in finnish too. Hei, Lista pitää sisällään noin 29 800 MD5 hashia, muutamisen sataa SHA1 hashia, 33 000 kappaletta epäkivoja SMF foorumin hasheja ja toki myös muutamisen sataa salasanaa plaintextinä. Joistakin puuttuu mailit, valitamme. Niitä joko ei ole ollut saatavilla tai ne ovat tarkoituksella jätetty pois. Kysymyksiä varmasti syntyy; "Miten teitte sen?", "Miksi olen listalla?", "Antakaa kamaa runessa", "Keitä te olette?". Jos olet listalla, sori hei. Meillä ei ole varmastikaan ollut syytä satuttaa sua... tai sitten oli. Todennäköisesti olet vaan osunut väärään paikkaan väärään aikaan, mutta jokatapauksessa et olisi asialle mitään mahtanut. ~ 10 palvelinta murrettu 79 000 käyttäjätunnusta julkaistu 1 tekijä useita kopioita salasanalistasta julkaistu käyttäjätunnukset kävivät kymmeniin palveluihin kymmenet tai sadat sivulliset väärinkäyttivät tunnuksia verkossa on edelleen suuri määrä heikostisuojattuja palveluita

  27. Ajankohtaista 1/2007 Storm Worm  2/2007 Nimipalvelimia hyödyntävä DDoS 3/2007 Tapaus OPC-haavoittuvuus  4/2007 Tapaus Eesti DDoS 5/2007 Tapaus Yleisradio & Co. 6/2007 Tapaus MPack  7/2007 Hype matkaviestinhaittaohjelmasta 8/2007 ”Köyhän miehen forensiikkaohje” 9/2007 Tapaus Titan Rain  10/2007 Tapaus Salasanavuoto 11/2007 Tapaus Russian Business Network  27

  28. Ajankohtaista: RBN

  29. Ajankohtaista: RBN

  30. Ajankohtaista: RBN

  31. Haavoittuvuuksienhallinnasta 31

  32. Haavoittuvuuksien hallinnan osapuolet Vendors (Vulnerability) Researchers Users (=customers) !!! ?! ?! BlackHats End Users

  33. Haavoittuvuuksien hallinnasta: CVSS

  34. Haavoittuvuuksien hallinnasta: CVSS CVE == Common Vulnerabilities and Exposure CVSS == Common Vulnerability Scoring System

  35. CERT-FI CVE Tracker

  36. Haavoittuvuuden ”laskeuma” kuva: OUSPG

  37. Haavoittuvuuden ”laskeuma” $ apt-cache rdepends libc6 | wc -l 7768 $ apt-cache rdepends libgtk1.2 | wc -l 429 $ apt-cache rdepends libx11-6 | wc -l 1637 $ apt-cache rdepends libdb4.1 libdb4.2 libdb4.3 libdb3 |sort | uniq | wc -l 263 $ apt-cache rdepends libpcap0.7 libpcap0.8 |wc -l 90 $ apt-cache rdepends libtasn1-2 libtasn1-0 | wc -l 75 kuva: OUSPG

  38. Onko jokin rikki? Vendors (Vulnerability) Researchers Users (=customers) !!! ?! ?! BlackHats End Users Kerro meille. Voinemme olla avuksi. VulnCoord@ficora.fi

  39. Puhelin: +358 9 6966 510Päivystys: +358 44 012 0123Sähköposti: cert@ficora.fiwww: www.cert.fi CERT-FI:n julkiset varoitukset voi lukea:• Sähköpostitse hälytyspalveluna• SMS-hälytyspalveluna (maksullinen)• CERT-FI:n www-sivuilta• RSS-uutispalveluna• YLE:n teksti-tv:n sivulta 848

More Related